Gemini を使用して UDM 検索クエリを生成する

以下でサポートされています。

Gemini を使用して、Gemini ペインから、または UDM 検索を使用しているときに UDM 検索クエリを生成できます。

最良の結果を得るには、Gemini ペインを使用して検索クエリを生成することをおすすめします。

Gemini ペインを使用して UDM 検索クエリを生成する

  1. Google SecOps にログインし、Gemini のロゴをクリックして Gemini ペインを開きます。

  2. 自然言語プロンプトを入力し、Enter キーを押します。自然言語プロンプトは英語で記述する必要があります。

    Gemini ペインを開き、プロンプトを入力します

    図 1: Gemini ペインを開き、プロンプトを入力する

  3. 生成された UDM 検索クエリを確認します。生成された検索クエリが要件を満たしている場合は、[検索を実行] をクリックします。

  4. Gemini は、結果の要約と推奨されるアクションを生成します。

  5. Gemini によって調査を続行します。

検索プロンプトとフォローアップの質問の例

  • Show me all failed logins for the last 3 days
    • Generate a rule to help detect that behavior in the future
  • Show me events associated with the principle user izumi.n
    • Who is this user?
  • Search for all of the events associated with the IP 198.51.100.121 in the last 3 hours
    • List all of the domains in the results set
    • What types of events were returned?
  • Show me events from my firewall in the last 24 hours
    • What were the 16 unique hostnames in the results set?
    • What were the 9 unique IPs associated with the results set?

自然言語を使用して UDM 検索クエリを生成する

Google SecOps の UDM 検索機能を使用すると、データに関する自然言語クエリを入力できます。Gemini はこれを UDM 検索クエリに変換し、UDM イベントに対して実行できます。

より良い結果を得るには、Gemini ペインを使用して検索クエリを生成することをおすすめします。

自然言語検索を使用して UDM 検索クエリを作成するには、次の手順を完了します。

  1. Google SecOps にログインします。
  2. SIEM 検索に移動します。

  3. 自然言語のクエリバーに検索ステートメントを入力し、[Generate Query] をクリックします。検索には英語を使用する必要があります。

    自然言語検索を入力して [クエリを生成] をクリックする

    図 2: 自然言語検索を入力して [クエリを生成] をクリックする

    次に、有用な UDM 検索を生成する可能性があるステートメントの例を示します。

    • network connections from 10.5.4.3 to google.com
    • failed user logins over the last 3 days
    • emails with file attachments sent to john@example.com or jane@example.com
    • all Cloud service accounts created yesterday
    • outbound network traffic from 10.16.16.16 or 10.17.17.17
    • all network connections to facebook.com or tiktok.com
    • service accounts created in Google Cloud yesterday
    • Windows executables modified between 8 AM and 1 PM on May 1, 2023
    • all activity from winword.exe on lab-pc
    • scheduled tasks created or modified on exchange01 during the last week
    • email messages that contain PDF attachments
    • emails sent by or sent from admin@acme.com on September 1
    • any files with the hash 44d88612fea8a8f36de82e1278abb02f
    • all activity associated with user "sam@acme.com"

    4. 検索ステートメントに時間ベースの用語が含まれている場合、一致するように時間ピッカーが自動調整されます。たとえば、これは次の検索に該当します。

    • yesterday
    • within the last 5 days
    • on Jan 1, 2023

    検索ステートメントを解釈できない場合は、次のメッセージが表示されます。
    「有効なクエリを生成できませんでした。別の方法で質問してみてください。」

  4. 生成された UDM 検索クエリを確認します。

  5. (省略可)検索期間を調整します。

  6. [検索を実行] をクリックします。

  7. 検索結果で、イベントが存在するかどうかを確認します。必要に応じて、検索フィルタを使用して結果のリストを絞り込みます。

  8. [生成されたクエリ] フィードバック アイコンを使用して、クエリに関するフィードバックを送信します。次のいずれかを選択します。

    • クエリから期待どおりの結果が返された場合は、「高く評価」アイコンをクリックします。
    • クエリから返された結果が期待どおりでない場合は、「低く評価」アイコンをクリックします。
    • (省略可)[フィードバック] フィールドに追加情報を入力します。
    • 結果の改善に役立つ改訂された UDM 検索クエリを送信するには:
    • 生成された UDM 検索クエリを編集します。
    • [送信] をクリックします。クエリを書き換えなかった場合は、クエリを編集するよう求めるメッセージがダイアログに表示されます。
    • [送信] をクリックします。修正された UDM 検索クエリはセンシティブ データをサニタイズし、結果を改善するために使用されます。

チャット セッションを削除する

チャット会話セッションを削除したり、すべてのチャット セッションを削除したりできます。Gemini は、ユーザーのすべての会話履歴を非公開で保持し、 Google Cloudの責任ある AI への取り組みを遵守します。ユーザーの履歴はモデルのトレーニングに使用されることはありません。

  1. Gemini ペインで、右上のメニューから [チャットを削除] を選択します。
  2. 右下にある [チャットを削除] をクリックして、現在のチャット セッションを削除します。
  3. (省略可)すべてのチャット セッションを削除するには、[チャット セッションをすべて削] を選択してから、[チャットをすべて削除] をクリックします。

フィードバックを送信

Gemini AI Investigation 支援で生成された回答に対して、フィードバックを提供できます。皆様のフィードバックは、Google の機能と Gemini が生成する出力の改善に役立ちます。

  1. Gemini ペインで、高評価または低評価のアイコンを選択します。
  2. (省略可)低評価を選択した場合は、その評価を選択した理由に関するフィードバックを追加できます。
  3. [フィードバックを送信] をクリックします。